10 неприятных вопросов специалисту по ИБ
Задали менеджеру продуктов информационной безопасности десять неприятных, но честных вопросов о смысле, пользе и реальной эффективности ИБ
Для одних информационная безопасность — это «служба запретов», для других — необходимая страховка, без которой невозможно развивать бизнес. Бюджеты растут, требования ужесточаются, а доверие между безопасниками, разработчиками и руководством по-прежнему присутствует не всегда.
Эта статья из спецпроекта VK Cloud, посвященного повышению отказоустойчивости ИТ
В рамках спецпроекта VK Cloud, посвященного повышению отказоустойчивости ИТ, мы задали менеджеру продуктов информационной безопасности Георгию Вахромееву десять неприятных, но честных вопросов — о смысле, пользе и реальной эффективности ИБ.
Почему бюджеты на ИБ растут быстрее, чем на фичи? Почему нельзя просто обойти ограничения ради релиза? И зачем вообще нужны люди, если все автоматизировано?
Вот прямые ответы без дипломатии.
Почему бюджет на ИБ больше, чем на разработку новых функций?
Информационная безопасность — это не отдельный проект, а большая система, которая поддерживает стабильность всей компании. Каждая новая фича, платформа, интеграция или бизнес-процесс так или иначе проходит через эту систему, поэтому все должно быть надежно защищено. Когда смотришь на отдельную функцию, кажется, что ИБ стоит слишком дорого. Но мы не защищаем одну фичу — мы защищаем все.
Бюджет безопасности действительно может быть больше, чем бюджет отдельной команды разработки, но это не затраты в никуда. Это страховка от простоев, утечек, штрафов и потери доверия.
Ни одна фича не имеет смысла, если ее можно легко эксплуатировать как уязвимость и украсть с ее помощью данные компании и ее клиентов.
ИБ — это не надстройка, а фундамент, на котором стоят функции.
Вы можете гарантировать, что утечки не будет?
Нет. И никто не может. Полностью исключить риск попросту невозможно.
Цель систем информационной безопасности не в том, чтобы обещать невозможное, а в том, чтобы понизить вероятность и ограничить последствия.
Мы выстраиваем многослойную архитектуру защиты, где каждый уровень снижает риск. Мы знаем, что атака может произойти и обязательно произойдет рано или поздно. Поэтому важно, чтобы компания умела быстро обнаруживать, локализовать и устранять последствия.
Хорошая безопасность — это не обещание, что инцидентов не будет, а гарантия того, что бизнес переживет любой из них без серьезных последствий.
Можно ли обойти ваши ограничения, если срочно нужно в прод?
Технически — можно. Но с точки зрения безопасности — категорически нельзя.
Когда кто-то обходит защитные меры ради скорости, он часто создает временное окно уязвимости для всей системы. Любая уязвимость, даже краткосрочная, может и будет использована. Мошенники сканируют инфраструктуры в реальном времени и 24 часа в сутки ждут вашей ошибки. По итогу то, что кажется безобидным компромиссом ради скорого релиза, может обернуться масштабным инцидентом.
Поэтому можно — но не нужно. Лучше задержать релиз на день, чем восстанавливаться месяц после утечки.
Сколько мы потеряем, если полностью отключим безопасность?
Если коротко — весь бизнес.
Без защиты компания фактически становится голой перед внешними угрозами. Здесь речь не только о хакерах: инсайдеры, утечки через подрядчиков, ошибки в конфигурациях — все это сработает моментально.
Кроме того, большинство отраслей живет в рамках регуляторных требований: PCI DSS, ISO, ФЗ-152. Их невыполнение не просто повышает риск, но делает работу компании юридически невозможной. И даже если представить, что регуляторы не поймут, что произошло, все это увидят злоумышленники.
Отказ от ИБ — это отказ от доверия клиентов, партнеров, инвесторов. Безопасность — не какая-то изолированная функция, дополнение, а в принципе условие существования бизнеса в современном мире.
А что, правда кто-то будет читать мои письма?
Это миф, конечно, но доля истины все же есть. Специалисты по ИБ не читают личную переписку сотрудников — ни вручную, ни автоматически. Современные системы анализируют метаданные, а не содержание: адрес отправителя, вложения, тип файлов, подозрительные ссылки.
Цель — не наблюдение, а предотвращение фишинга, утечек и заражений.
Объем внутреннего трафика в крупной компании исчисляется петабайтами в день. Физически читать это невозможно и бессмысленно. Мы следим не за людьми, а за паттернами поведения систем. В нормальной ИБ-службе приоритет один — защита инфраструктуры.
Почему ИБ вмешивается в архитектуру, если не понимает продукта?
ИБ вмешивается не потому, что хочет руководить, или просто потому, что вредный, а потому что знает, где чаще всего возникают уязвимости. Архитектура продукта определяет, где и как передаются данные, кто к ним имеет доступ и какие точки могут быть использованы для атаки. Для анализа этого не нужно знать бизнес-логику — достаточно понимать, где проходят критически важные артерии.
Наша задача — убедиться, что данные не лежат открыто, что права доступа разграничены, что шифрование работает, а резервные каналы защищены.
Мы не мешаем создавать продукт, мы делаем так, чтобы его не пришлось спасать после релиза. Если безопасность встроена в архитектуру с самого начала, она не тормозит — она экономит время и деньги.
Кто проверяет самих специалистов по информационной безопасности?
Контроль, на самом деле, идет сразу на нескольких уровнях.
Внутренне — в команде всегда действует принцип взаимного аудита: решения не принимаются в одиночку.
Внешне — крупные компании постоянно проходят независимые проверки: различные сертификации, Pentest-аудиты, Compliance-оценки. Эти проверки позволяют увидеть, где в системе слабые места и что требует доработки.
Хорошая безопасность — это, среди прочего, постоянная самооценка. ИБ-служба не какой-то закрытый клуб, а система, которая следит за всем, в том числе и за собой.
Как измерить эффективность вашей работы?
Идеальная работа ИБ незаметна.
Когда все работает, никто не замечает, сколько угроз было предотвращено.
Результат — это отсутствие инцидентов, и по этой тишине нас чаще всего и судят. Тем не менее метрики есть: среднее время реакции, количество устраненных уязвимостей, доля успешных проверок, уровень осведомленности сотрудников.
Но не все можно выразить в KPI. Иногда лучший показатель — стабильность бизнеса. Если инфраструктура не падает, если клиенты доверяют, если ни один кризис не смог обернуться катастрофой, значит, ИБ выполняет свою задачу.
Можно сказать, у безопасности KPI обратный: чем меньше про нее слышно, тем лучше она работает.
Зачем превращать компанию в режимный объект?
Любой бизнес, где сотни людей имеют доступ к данным и системам, нуждается в дисциплине. Это может казаться «режимностью», но на самом деле это просто управляемость и устойчивость.
Без четких политик доступов и разграничений безопасность превращается в случайность. Мы стараемся находить баланс между удобством и защитой. Да, иногда процедуры кажутся неудобными, но к ним можно привыкнуть. Они создают предсказуемую среду, где бизнес может работать спокойно и без сюрпризов.
Если все автоматизировано, зачем вообще нужны люди в ИБ?
Потому что ни одна система не понимает контекста.
Автоматизация обрабатывает события, но не умеет различать, где реальная атака, а где ложное срабатывание. Она не знает приоритетов бизнеса, не способна к интуиции, не умеет брать ответственность. Люди нужны, чтобы анализировать сигналы, принимать решения и адаптировать защиту под новые угрозы.
Технологии — инструмент, а человек остается тем, кто определяет, как им пользоваться. Без человека автоматизация превращается в реактивную систему, а не в осознанную защиту бизнеса.
Да, ИБ не приносит прямой прибыли, но без нее любая прибыль может оказаться временной.
И, как сказал бы любой опытный безопасник, цель ИБ не в том, чтобы ничего не случилось, а в том, чтобы бизнес мог спокойно продолжать работать, даже если случится все.